<?php
/**
 * Created by PhpStorm.
 * User: 4399-1500
 * Date: 2018/6/12
 * Time: 11:37
 */

namespace Common;

use models\DAO\Group_accessModel;
use models\DAO\RuleModel;
use Yaf\Registry;
use models\DAO\BaseModel;

class Auth{

    //默认配置
    protected $_config = array(
        'auth_on'           => true,                      // 认证开关
        'auth_type'         => 1,                         // 认证方式，1为实时认证；2为登录认证。
        'auth_group'        => 'auth_group',        // 用户组数据表名
        'auth_group_access' => 'auth_group_access', // 用户-用户组关系表
        'auth_rule'         => 'auth_rule',         // 权限规则表
        'auth_user'         => 'user'             // 用户信息表
    );

    public function __construct() {
        if (Registry::get("config")['auth']) {
            //可设置配置项 AUTH_CONFIG, 此配置项为数组。
            $this->_config = array_merge($this->_config, Registry::get("config")['auth']);
        }
    }

    /**
     * 检查权限
     * @param name string|array  需要验证的规则列表,支持逗号分隔的权限规则或索引数组
     * @param uid  int           认证用户的id
     * @param string mode        执行check的模式
     * @param relation string    如果为 'or' 表示满足任一条规则即通过验证;如果为 'and'则表示需满足所有规则才能通过验证
     * @return boolean           通过验证返回true;失败返回false
     */
    public function check($name, $uid, $type=1, $mode='url', $relation='or') {
        if (!$this->_config['auth_on'])
            return true;
        //获取用户需要验证的所有有效规则列表
        $authList = $this->getAuthList($uid,$type);

        //是否验证多个规则，包含逗号，变成数组
        if (is_string($name)) {
            $name = strtolower($name);
            if (strpos($name, ',') !== false) {
                $name = explode(',', $name);
            } else {
                $name = array($name);
            }
        }
        $list = []; //保存验证通过的规则名

        if ($mode=='url') {
            //序列化，小写，又反序列化？
            $REQUEST = unserialize( strtolower(serialize($_REQUEST)) );
        }

        foreach ( $authList as $auth ) {
            //获取url的query参数
            $query = preg_replace('/^.+\?/U','',$auth);
            if ($mode=='url' && $query!=$auth ) {
                //解析规则中的param，使其变成PHP变量
                parse_str($query,$param);
                //获取$REQUEST与$param带索引检查计算数组的交集
                $intersect = array_intersect_assoc($REQUEST,$param);
                //获取auth中的的query参数
                $auth = preg_replace('/\?.*$/U','',$auth);
                if ( in_array($auth,$name) && $intersect==$param ) {  //如果节点相符且url参数满足
                    $list[] = $auth ;
                }
            }else if (in_array($auth , $name)){
                //例如，$name='Admin/index',不带query参数，就不是url模式，那么就直接判断是否包含，否则如上代码判断url参数是否一致。
                $list[] = $auth ;
            }
        }

        if ($relation == 'or' and !empty($list)) {
            return true;
        }
        $diff = array_diff($name, $list);
        if ($relation == 'and' and empty($diff)) {
            return true;
        }
        return false;
    }

    /**
     * 根据用户id获取用户组,返回值为数组
     * @param  uid int     用户id
     * @return array       用户所属的用户组 array(
     *     array('uid'=>'用户id','group_id'=>'用户组id','title'=>'用户组名称','rules'=>'用户组拥有的规则id,多个,号隔开'),
     *     ...)
     */
    public function getGroups($uid) {
        static $groups = array();
        if (isset($groups[$uid]))
            return $groups[$uid];

        $groups_access = Group_accessModel::getInstance();
        $user_groups = $groups_access->execute("SELECT uid,group_id,title,rules FROM `group_access` a INNER JOIN `group` g ON a.group_id = g.id WHERE a.uid = $uid AND g.`status` = '1'");
        $groups[$uid]=$user_groups?:[];
        return $groups;
    }

    /**
     * 获得权限列表
     * @param integer $uid  用户id
     * @param integer $type
     */
    protected function getAuthList($uid,$type) {
        static $_authList = array(); //保存用户验证通过的权限列表
        $t = implode(',',(array)$type);
        if (isset($_authList[$uid.$t])) {
            return $_authList[$uid.$t];
        }

        if( $this->_config['auth_type']==2 && isset($_SESSION['_AUTH_LIST_'.$uid.$t])){
            return $_SESSION['_AUTH_LIST_'.$uid.$t];
        }
        //判断是否存在redis的权限列表
        if (Registry::get('rdm')->getHash('menu:'.session_id().':rules')){
            $authList =Registry::get('rdm')->getHash('menu:'.session_id().':rules');
        }else{

            //读取用户所属用户组，一个用户可以属于多个用户组
            $groups = $this->getGroups($uid);

            $ids = array();//保存用户所属用户组设置的所有权限规则id
            foreach ($groups as $g) {

                $ids = array_merge($ids, explode(',', trim($g['rules'], ',')));
            }
            $ids = array_unique($ids);
            if (empty($ids)) {
                $_authList[$uid.$t] = array();
                return array();
            }
            Registry::get('rdm')->genString('menu:'.session_id().':menu',$ids);
            Registry::get('rdm')->setExpire('menu:'.session_id().':menu',86400);    //设置过期时间为2天，避免冗余
            $map=array(
                'type'=>$type,
//                'id'=>['in'=>implode(',', $ids)],
                'id'=>['in'=>$ids],
                'status'=>1,
            );
            //读取用户组所有权限规则
            $ruleModel =RuleModel::getInstance();
            $rules = $ruleModel->where($map)->field("`name`")->select();

            //循环规则，判断结果。
            $authList = [];   //
            foreach ($rules->data as $rule) {

                if (!empty($rule['condition'])) { //根据condition进行验证
                    $user = $this->getUserInfo($uid);//获取用户信息,一维数组

                    //使用用户的信息进行条件判断
                    //正则表达式替换，如定义{score}>5  and {score}<100  表示用户的分数在5-100之间时这条规则才会通过。
                    $command = preg_replace('/\{(\w*?)\}/', '$user[\'\\1\']', $rule['condition']);
                    //eval() 函数把字符串按照 PHP 代码来计算。
                    @(eval('$condition=(' . $command . ');'));
                    if ($condition) {
                        $authList[] = strtolower($rule['name']);
                    }
                } else {
                    //只要存在就记录
                    $authList[] = strtolower($rule['name']);
                }
            }
            $_authList[$uid.$t] = $authList;

            if($this->_config['auth_type']==2){
                //如果是登录认证，规则列表结果保存到session，不是实时认证，就可以直接用session缓存了
                $_SESSION['_auth_list_'.$uid.$t]=$authList;
            }else{
                //实时认证，数据从redis获取
                Registry::get('rdm')->genHash('menu:'.session_id().':rules',array_unique($authList));
                Registry::get('rdm')->setExpire('menu:'.session_id().':rules',86400);    //设置过期时间为2天，避免冗余

            }
        }
        return array_unique($authList);
    }

    /**
     * 获得用户资料,根据自己的情况读取数据库
     */
    protected function getUserInfo($uid) {
        static $userinfo=array();
        if(!isset($userinfo[$uid])){

            $userinfo[$uid]=M()->where(array('uid'=>$uid))->table($this->_config['auth_user'])->find();
        }
        return $userinfo[$uid];
    }

}
